:format(webp)/cdn.vox-cdn.com/uploads/chorus_asset/file/25362061/STK_414_AI_CHATBOT_R2_CVirginia_D.jpg?w=150&resize=150,150&ssl=1 "Computadora de escritorio antigua con monitor CRT, teclado y ratón sobre un fondo de color naranja con patrones de código binario en rojo. En la pantalla de la computadora se muestra un dibujo de un cerebro en color blanco sobre fondo azul, simbolizando la inteligencia artificial o la tecnología de aprendizaje automático.")
Microsoft ha alertado sobre ataques de tipo «password spraying» realizados a través de una red de bots o botnet conocida como «CovertNetwork-1658», vinculada a actores maliciosos de China. Esta botnet, que integra miles de dispositivos IoT comprometidos, se enfoca en atacar cuentas de la nube de Azure, con el objetivo de obtener acceso no autorizado a cuentas corporativas y gubernamentales. Los dispositivos en la botnet, en su mayoría routers TP-Link, conforman un sistema complejo y altamente evasivo que permite ocultar el comportamiento malicioso y dificultar la detección por los sistemas de seguridad de Microsoft.
Inicialmente documentada en octubre de 2023 y denominada “Botnet-7777” por un investigador independiente, la botnet alcanzó un pico de más de 16,000 dispositivos comprometidos, aunque su tamaño actual ronda los 8,000 dispositivos. La botnet lleva a cabo ataques de tipo password spraying, es decir, envía múltiples intentos de inicio de sesión desde diversas IP, limitando el número de intentos desde cada dispositivo para evitar ser detectada.
Microsoft ha destacado que los atacantes utilizan infraestructura IP variada, con direcciones rotativas para mantener el anonimato, y un bajo volumen de intentos de acceso por cada IP. Esto, combinado con la corta duración de cada dispositivo comprometido en la red (unos 90 días en promedio), hace que el comportamiento pase desapercibido en los sistemas de monitoreo.
Los ataques han sido atribuidos en parte al grupo «Storm-0940», que dirige sus operaciones hacia instituciones gubernamentales, ONG, bufetes legales y empresas de defensa en América del Norte y Europa. Según Microsoft, Storm-0940 obtiene credenciales robadas a través de la infraestructura de CovertNetwork-1658, facilitando un acceso rápido a las cuentas comprometidas en diferentes sectores.
El proceso de ataque sigue una secuencia metódica que incluye el uso de puertas traseras y servidores SOCKS5 en los dispositivos comprometidos, habilitando el control remoto de los dispositivos mediante el puerto TCP 7777 y otros puertos específicos. Una vez comprometidos los sistemas de las víctimas, los atacantes buscan moverse lateralmente dentro de la red y realizar acciones como la exfiltración de datos y la instalación de troyanos de acceso remoto.
Aunque Microsoft no ha emitido recomendaciones específicas para evitar o detectar infecciones en los routers TP-Link y otros dispositivos afectados, expertos de seguridad sugieren que reiniciar periódicamente estos dispositivos puede ayudar a eliminar temporalmente la infección, dado que el malware utilizado no tiene la capacidad de persistir tras un reinicio. No obstante, esta medida solo ofrece una solución temporal, ya que los dispositivos podrían ser re-infectados en un futuro si no se eliminan las vulnerabilidades explotadas.
:format(webp)/cdn.vox-cdn.com/uploads/chorus_asset/file/25362061/STK_414_AI_CHATBOT_R2_CVirginia_D.jpg?w=75&resize=75,75&ssl=1 "Computadora de escritorio antigua con monitor CRT, teclado y ratón sobre un fondo de color naranja con patrones de código binario en rojo. En la pantalla de la computadora se muestra un dibujo de un cerebro en color blanco sobre fondo azul, simbolizando la inteligencia artificial o la tecnología de aprendizaje automático.")
